文章总结： 近期全球网络安全形势严峻，罗马尼亚水务部门遭勒索软件攻击致千余系统瘫痪；快手直播遭网络攻击后恢复；日产与凤凰城大学分别发生数据泄露事件。微软紧急修复MSMQ严重故障，奇安信披露感染180万台设备的Kimwolf僵尸网络。东方雨虹子公司疑遭电信诈骗损失超百万美元。此外，黑客针对HubSpot用户实施精密钓鱼攻击，并伪装韩国编剧利用HWP文档传播RoKRAT窃密木马。 综合评分： 76 文章分类： 安全大事件,数据泄露,威胁情报,漏洞预警,应急响应

罗马尼亚国家水务部门遭勒索软件攻击，上千IT系统瘫痪

汇能云安全

2025年12月24日 16:50 广东

12月24日，星三，您好！中科汇能与您分享信息安全快讯：

01

罗马尼亚国家水务部门遭勒索软件攻击，上千IT系统瘫痪

罗马尼亚国家网络安全局于12月23日确认，该国水资源管理部门遭遇一起重大勒索软件攻击。此次攻击始于12月20日，迅速蔓延至全国11个流域管理机构中的10个，导致约1000个系统遭受破坏，包括地理信息服务器、数据库、邮件服务器等在内的IT基础设施全面瘫痪，官方网站一度离线。攻击者利用Windows系统的BitLocker功能对文件进行加密，并留下勒索字条。尽管IT系统严重受损，但水务管理局强调，其核心的工程运行能力并未受到影响，水利设施的现场作业仍在正常进行。

事件发生后，罗马尼亚官方明确表示绝不会支付赎金，并建议公众避免联系技术团队以利于其专注恢复工作。同时，当局决定将此前未纳入国家关键信息基础设施保护体系的水务网络，紧急整合进由网络安全中心开发的智能监测与防护系统。此前，英国、美国、加拿大等国的供水系统也曾频繁遭受网络攻击。

02

快手直播功能遭网络攻击后恢复，公司已报警并谴责黑灰产

短视频平台快手于2025年12月23日发布公告，披露其应用的直播功能在前一日22时左右遭到网络攻击。公司表示，在攻击发生后已第一时间启动应急预案，经全力处置与系统修复，直播功能已逐步恢复正常服务。此次攻击仅限于直播功能，快手应用的其他服务未受影响。

快手在公告中强烈谴责了此次黑灰产的违法犯罪行为，并明确公司始终严守合规底线。针对此次攻击，快手已就相关事宜向公安机关报警，并向监管部门报告。公司表示，将视情况采取其他适当的法律补救措施，以保障公司及其股东的权益。

03

日产汽车因供应商安全事件泄露1.2万名客户数据

日产汽车有限公司近日证实，因美国软件公司Red Hat在9月发生的数据泄露事件，导致其日本福冈地区约1.2万名客户的个人信息遭泄露。泄露的信息包括客户的全名、住址、电话号码、电子邮箱及销售业务数据，但日产强调信用卡等财务信息并未外泄。此次泄露源于为日产开发客户管理系统的Red Hat公司服务器遭越权访问。日产表示，目前未发现泄露信息被滥用的证据。

此次事件与黑客组织“Crimson Collective”攻击Red Hat并窃取大量数据有关。这是日产在今年遭遇的第二起公开网络安全事件。今年8月，其设计子公司曾遭Qilin勒索软件攻击；去年，日产北美及大洋洲公司也分别发生过涉及员工与客户数据的大规模泄露事件。

04

凤凰城大学披露重大数据泄露事件，逾350万人受影响

美国大型营利性教育机构凤凰城大学于2025年12月22日披露，其系统遭遇外部入侵，导致一起涉及约350万人的重大数据泄露事件。泄露的个人信息涵盖在校生、校友及教职员工，具体数据可能包括姓名、社会安全号码、出生日期、联系方式及教育记录等。该入侵事件实际发生近三个月后，于2025年11月21日才被发现，这一较长的检测窗口期引发了对其安全监控能力的关注。

根据法律要求，此次泄露事件触发了对特定地区的强制通知义务，其中缅因州有超过9000名居民受到影响。凤凰城大学已开始向受影响人群寄送通知函，并宣布将为其免费提供身份盗窃保护服务，具体服务细节将在后续信函中说明。校方已聘请外部法律团队管理事件响应流程。对于受影响的个人，校方建议应密切监控财务账户，并可考虑采取信用冻结等预防性措施。

05

微软紧急发布带外更新，修复MSMQ严重故障

微软于2025年12月18日紧急发布了一个带外更新，旨在修复其在12月9日发布的月度安全补丁中引入的严重缺陷。该缺陷导致消息队列（MSMQ）服务出现故障，表现为队列失效、应用程序无法写入，并弹出磁盘或内存不足等错误提示，实际资源却充足。此问题对依赖MSMQ进行异步消息处理的互联网信息服务（IIS）站点冲击尤为严重，在高负载的集群环境中可能引发连锁反应，导致大面积业务中断。此次更新专门面向Windows 10的22H2和21H2版本，并整合了12月9日补丁的全部修复内容。

微软指出，此故障主要影响企业环境中的托管IT基础设施，个人版Windows系统基本未受影响。为确保后续更新顺利安装，微软同时推送了一项服务堆栈更新  （KB5068780），并强烈建议管理员优先在企业环境中部署此次紧急修复。对于集成了MSMQ的IIS部署，建议先在测试环境中验证补丁，再推广至生产环境。该更新可通过Windows更新、企业更新目录等渠道获取。此外，微软还提醒，安全启动证书将于2026年6月起陆续过期，企业需提前规划更新，避免影响设备启动。

06

全球网络安全事件频发：知名网站用户数据遭窃，企业系统与设备漏洞受关注

本周，全球范围内发生多起引发广泛关注的网络安全事件。全球知名网站PornHub确认，其超过2亿条付费用户记录被黑客组织“ShinyHunters”窃取，数据总量达94GB，包含用户浏览历史及关联邮箱。该网站表示数据可能源于其多年前合作的第三方分析公司，并已收到勒索邮件。与此同时，委内瑞拉国家石油公司（PDVSA）声称其行政系统遭网络攻击并指控美国策划，此次事件被指一度干扰其原油运输业务。

在网络威胁层面，思科公司披露其多款安全邮件网关产品中存在一个零日漏洞，且自11月下旬以来已被疑似有国家背景的黑客组织利用。目前思科尚未发布正式补丁，建议用户采取临时缓解措施。此外，一起颇具讽刺意味的案件曝光，两名分别来自不同网络安全公司的从业人员（包括一名事件响应专员和一名勒索软件谈判专家）承认发起勒索软件攻击，其中一起案件成功勒索一家医疗设备公司100万美元。

07

新型僵尸网络“Kimwolf”感染180万台智能设备，流量曾超谷歌

中国网络安全公司奇安信近期披露一个名为“Kimwolf”的新型大规模僵尸网络。该网络已感染全球至少180万台设备，受感染设备主要为基于安卓系统的智能电视、机顶盒及平板电脑。在2025年11月19日至22日的四天监测期内，其活动异常活跃，发出的分布式拒绝服务攻击指令高达17亿条，导致其命令控制服务器的域名流量一度超过谷歌搜索，登顶相关排行榜。受感染设备型号多样，地理分布广泛，在巴西、印度、美国、阿根廷等国感染尤为集中。

报告指出，Kimwolf功能复杂，不仅用于发动DDoS攻击，还集成了代理转发、远程控制等能力。其代码与另一个知名僵尸网络AISURU存在关联，可能是后者的进化版本。为应对其命令服务器被多次下线的情况，运营者已开始采用更去中心化的以太坊域名服务来维持网络。安全专家建议相关用户检查设备是否使用默认密码并及时修改，对行为异常的设备进行重置，并安装可用的系统更新，但承认许多老旧设备缺乏持续的安全更新支持。

08

东方雨虹美国子公司疑遭电信诈骗，涉案金额超170万美元

A股上市公司东方雨虹（002271）于12月23日晚间发布公告，披露其美国全资子公司OYH Construction Materials LLC（OYH建材公司）疑遭遇电信诈骗，涉案金额约171.83万美元（折合人民币约1211.80万元）。公告称，事件系犯罪分子入侵子公司邮箱，伪造总包方身份以申请支付建设工程进度款所致。在察觉异常后，该子公司已立即向美国当地警方及联邦调查局（FBI）报案。公司已成立专项工作组赴美处理此事。

东方雨虹在公告中强调，经初步核查，本次事件为偶发独立事件，预计不会对公司正常生产经营造成重大不利影响。公司表示将全力配合警方侦破案件，并采取各项措施争取最大限度挽回损失。同时，公司将以此为契机，全面加强对海外子公司的内部控制、资金支付审批流程及网络安全防护的排查与整改，以提升整体风险防范能力。根据公司三季报，东方雨虹今年前三季度营收206亿元，净利润8.1亿元。

09

黑客针对HubSpot用户发起精密钓鱼攻击，窃取营销数据凭证

网络安全研究人员近期披露，黑客正通过结合社会工程学与基础设施入侵的精密手段，持续对知名营销平台HubSpot的用户发起定向钓鱼攻击。攻击者的核心目的是窃取用户登录凭证，进而危害企业的营销与客户数据安全。与传统攻击不同，此次攻击并未直接投放恶意软件，而是通过入侵企业邮箱和劫持网站来实施。

攻击始于利用MailChimp平台批量发送伪装成账户通知的钓鱼邮件，以“退订量激增”等理由制造紧迫感，诱骗用户点击。研究人员发现，攻击者采用了一种隐蔽性极强的新手法：将恶意钓鱼链接直接嵌入电子邮件的“发件人显示名称”中，而非正文，以此绕过常规安全检测。用户点击后，会从被黑网站重定向至一个由俄罗斯防弹主机服务支持的、高度仿真的虚假HubSpot登录页面，一旦输入账号密码，信息便会被攻击者截获。安全专家建议企业加强邮件检测、对关键账户启用多因素认证，并定期对员工进行反钓鱼演练。

10

黑客伪装韩国电视编剧实施精准攻击，利用HWP文档传播窃密木马

网络安全研究人员近期发现一场代号为“阿尔忒弥斯行动”的复杂网络攻击活动。攻击者长期伪装成韩国知名电视节目的编剧，通过电子邮件联系特定领域的学者、记者等目标，以采访或合作的名义发送带有恶意附件的邮件。附件为韩国通用的HWP文档格式，伪装成问卷或活动指南。一旦受害者打开文档并点击内嵌链接，便会触发隐蔽的感染链，最终在系统中植入名为RoKRAT的数据窃取木马。

技术分析显示，此次攻击手法精密。攻击者未直接投递可执行文件，而是利用“DLL侧载”技术，将恶意代码伪装成系统合法文件（如version.dll），诱使Windows系统工具加载。该恶意软件采用多层加密和自适应的解密方法以规避检测，其命令与控制服务器架设在俄罗斯的Yandex云服务上。安全专家指出，此类攻击依赖社会工程学建立信任，技术手段旨在绕过传统杀毒软件，防御需依靠监控异常进程行为和可疑网络连接。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《罗马尼亚国家水务部门遭勒索软件攻击，上千IT系统瘫痪》